De cryptografische fundamenten waarop digitale vertrouwelijkheid en integriteit in de Nederlandse overheid rusten, staan op de drempel van een fundamentele verstoring. De huidige publieke-sleutelcryptografie, waaronder RSA en elliptic curve cryptography (ECC), is gebaseerd op wiskundige problemen die voor klassieke computers praktisch onoplosbaar zijn, zoals het ontbinden van zeer grote getallen in priemfactoren en het berekenen van discrete logaritmen. Quantumcomputers werken echter op basis van andere natuurkundige principes, zoals superpositie en verstrengeling, en kunnen met Shors algoritme deze problemen in theorie exponentieel sneller oplossen. Daarmee dreigen de huidige cryptografische beschermingslagen – die nu als veilig worden beschouwd – op termijn ineffectief te worden. Grootschalige quantumcomputers die daadwerkelijk een 2048-bits RSA-sleutel kunnen breken bestaan nog niet, maar de verwachte tijdslijn wordt steeds concreter: conservatieve schattingen gaan uit van 10 tot 15 jaar, optimistische voorspellingen spreken over 5 tot 7 jaar, en een onverwachte doorbraak die het nog sneller mogelijk maakt, kan niet worden uitgesloten. Voor Nederlandse overheidsorganisaties die staatsgeheime informatie en andere langdurig gevoelige gegevens moeten beschermen, is de quantumdreiging daardoor een strategisch vraagstuk dat nú aandacht vraagt, niet pas in de verre toekomst.
De urgentie wordt verder vergroot door het fenomeen harvest-now-decrypt-later: statelijke en criminele actoren onderscheppen en exfiltreren vandaag al versleutelde communicatie, databestanden en documenten, in de verwachting dat deze in de toekomst met quantumcomputers ontsleuteld kunnen worden. Gegevens die nu worden versleuteld met klassieke algoritmen kunnen daardoor achteraf kwetsbaar blijken zodra quantumcapaciteit beschikbaar komt. Een besluit om de overstap naar quantum-veilige cryptografie uit te stellen, betekent feitelijk dat gevoelige informatie uit het verleden in de toekomst leesbaar kan worden voor partijen met quantumcapaciteit. Deze gids biedt een strategisch raamwerk voor bestuurders, CISO’s en architecten om de overgang naar post‑quantum‑cryptografie te organiseren en de weerbaarheid van de organisatie tijdig op te bouwen voor het quantumtijdperk.
Deze voorbereidingsgids over quantumcomputing en cryptografie is bedoeld voor strategische besluitvormers binnen de Nederlandse publieke sector. U hoeft geen natuurkundige te zijn om de gevolgen te begrijpen: het gaat om voldoende inzicht in de basisprincipes van quantumcomputing om gefundeerde beslissingen te kunnen nemen, een helder beeld van de quantumrisico’s voor uw organisatie, en inzicht in de stappen die nodig zijn om tijdig over te stappen op post‑quantum‑cryptografie. De gids ondersteunt u bij het analyseren welke gegevens en systemen het meest kwetsbaar zijn, het begrijpen van de tijdslijn en implicaties van de NIST‑standaarden voor post‑quantum‑algoritmen, het opstellen van meerjarige migratie‑roadmaps, het ontwerpen van crypto‑agile architecturen die toekomstige algoritmewissels ondersteunen, het sturen op leveranciers die quantum‑ready moeten zijn, het plannen van budgetten voor deze transitie en het communiceren van de quantumdreiging naar niet‑technische stakeholders, waaronder politiek en topmanagement.
Begin de quantumvoorbereiding altijd met een grondige inventarisatie van alle cryptografische inzet binnen de organisatie. Een ministerie dat een quantum‑readiness‑assessment uitvoerde, ontdekte dat cryptografie veel breder en dieper verankerd was dan men vooraf dacht. Niet alleen in de bekende toepassingen zoals e‑mailversleuteling en documentbeveiliging, maar ook in authenticatieprotocollen, digitale handtekeningen, certificaatinfrastructuren, VPN‑tunnels, database‑ en back‑up‑versleuteling, licentiecontroles in applicaties en tientallen kleinere systemen waar cryptografie stilzwijgend onderdeel van de oplossing was. De uiteindelijke inventarisatie bracht meer dan 180 verschillende cryptografische implementaties aan het licht die elk afzonderlijk beoordeeld en uiteindelijk gemigreerd moesten worden. Organisaties die zonder volledig overzicht met de migratie beginnen, lopen het risico kritieke systemen te missen en hardnekkige quantumkwetsbaarheden achter te laten. De les is duidelijk: reserveer 3 tot 6 maanden voor een grondige cryptografische inventarisatie voordat u een migratieplanning opstelt. Een complete inventory vormt de onmisbare basis voor een realistische en uitvoerbare transitiestrategie.
Quantumdreigingsanalyse: tijdlijn van cryptografische kwetsbaarheid
Shors algoritme en de breekbaarheid van huidige cryptografie
De dreiging die quantumcomputing vormt voor cryptografie komt voort uit Shors algoritme, een wiskundig algoritme dat aantoont dat het ontbinden van grote getallen en het berekenen van discrete logaritmen op een quantumcomputer veel sneller kan dan met de beste klassieke algoritmen. Een 2048‑bits RSA‑sleutel wordt vandaag als veilig beschouwd omdat het voor een klassieke supercomputer astronomisch veel tijd zou kosten om het onderliggende getal in priemfactoren te ontbinden. Een voldoende grote en stabiele quantumcomputer die Shors algoritme kan uitvoeren, zou hetzelfde probleem in uren of dagen kunnen oplossen. Die enorme versnelling ondermijnt de fundamentele veiligheidsaanname achter RSA, Diffie‑Hellman‑sleuteluitwisseling en elliptic curve cryptography, waarop een groot deel van de huidige digitale infrastructuur steunt.
Voor het daadwerkelijk breken van cryptografie is wel een grootschalige quantumcomputer nodig met duizenden foutgecorrigeerde logische qubits. De huidige generatie quantumhardware (bijvoorbeeld van IBM, Google en andere leveranciers) beschikt over enkele tientallen tot honderden fysieke qubits, maar kampt nog met hoge foutpercentages en beperkte stabiliteit. Daardoor zijn demonstraties van Shors algoritme tot nu toe beperkt gebleven tot zeer kleine sleutels zonder praktische relevantie. Tegelijkertijd versnelt de onderzoeksvoortgang: technieken voor foutcorrectie verbeteren, het aantal qubits groeit en de coherentietijden nemen toe. Als deze trend doorzet, is het realistisch dat cryptografisch relevante quantumcomputers in de periode 2030‑2040 ontstaan, met een aanzienlijke onzekerheidsmarge naar boven en beneden.
Voor strategische planning is het verstandig uit te gaan van een kortere tijdslijn. Een doorbraak in foutcorrectie, een nieuwe qubit‑technologie of onverwachte schaalbare architectuur kan de ontwikkeling aanzienlijk versnellen. Statelijke actoren met grote onderzoeksprogramma’s op het gebied van quantumtechnologie – zoals China, de Verenigde Staten en delen van de EU – kunnen bovendien eerder over operationele capaciteiten beschikken dan publiekelijk bekend wordt. Voor Nederlandse overheidsorganisaties is het daarom verstandig te plannen op een horizon van 5 tot 10 jaar en liever te vroeg dan te laat voorbereid te zijn. Overvoorbereid zijn is beheersbaar; ondervoorbereid zijn kan leiden tot een situatie waarin cruciale vertrouwelijkheid onherstelbaar wordt aangetast.
De realiteit van harvest-now-decrypt-later
De quantumdreiging is geen puur toekomstscenario: zij beïnvloedt vandaag al hoe we naar gegevensbescherming moeten kijken. Aanvallen volgens het harvest‑now‑decrypt‑later‑patroon gaan ervan uit dat een aanvaller nu versleutelde data buitmaakt, om deze later – zodra quantumcomputers krachtig genoeg zijn – alsnog te ontsleutelen. Een tegenstander die vandaag versleutelde netwerkverkeer, back‑ups of archieven van een overheidsorganisatie kopieert, kan die gegevens voorlopig niet lezen, maar wel veilig opslaan tot geschikte quantumcapaciteit beschikbaar komt.
De nationale veiligheidsimplicaties zijn vooral groot voor informatie die langdurig geheim moet blijven. Diplomatieke onderhandelingen, defensieplannen, inlichtingenoperaties en interne beleidsafwegingen kunnen nog decennia na dato zeer gevoelig zijn. Een document dat in 2024 als staatsgeheim wordt geclassificeerd, kan vertrouwelijk moeten blijven tot ver na 2050. Als dat document vandaag met klassieke cryptografie wordt versleuteld en een tegenstander het weet te kopiëren, is het in een toekomst met krachtige quantumcomputers mogelijk alsnog te ontsleutelen. Daarmee wordt de vertrouwelijkheid van het verleden aangetast door technologische vooruitgang in de toekomst.
Er zijn steeds meer aanwijzingen dat dergelijke harvest‑now‑decrypt‑later‑campagnes al plaatsvinden. Inbreuken bij overheidsorganisaties laten soms een patroon zien waarbij aanvallers langdurige, relatief stille aanwezigheid opbouwen, nauwelijks direct destructieve acties uitvoeren, maar systematisch grote hoeveelheden versleutelde databases en communicatie‑archieven exfiltreren. De directe schade lijkt beperkt, maar de dataverzameling is omvangrijk. In inlichtingendiensten leeft daarom sterk de hypothese dat statelijke actoren doelbewust versleutelde datasets verzamelen om deze in een later quantumtijdperk te ontsleutelen. Ook binnen de Nederlandse context waarschuwen diensten als de AIVD dat buitenlandse inlichtingendiensten gericht overheidscommunicatie en ‑systemen bespioneren met dit doel voor ogen.
Post‑quantum‑cryptografische standaarden: NIST‑selectie en implementatie
Standaardisatie van post‑quantum‑cryptografie door NIST
Het Amerikaanse National Institute of Standards and Technology (NIST), dat wereldwijd een grote invloed heeft op beveiligingsstandaarden, heeft een meerjarig traject doorlopen om cryptografische algoritmen te selecteren die bestand zijn tegen aanvallen met quantumcomputers. In 2016 riep NIST de internationale cryptografiegemeenschap op om voorstellen in te dienen. Er werden 82 kandidaten ingezonden, die in meerdere beoordelingsrondes openbaar zijn geanalyseerd op onder andere wiskundige onderbouwing, robuustheid en prestaties. Dit proces heeft in 2024 geleid tot de selectie van een eerste set post‑quantum‑algoritmen voor standaardisatie.
De geselecteerde algoritmen vertegenwoordigen verschillende cryptografische benaderingen en vormen samen een gebalanceerd pakket tussen veiligheid en praktische inzetbaarheid. ML‑KEM (Module‑Lattice‑Based Key Encapsulation Mechanism, voorheen Kyber) biedt quantum‑veilige sleuteluitwisseling op basis van roosterproblemen die naar de huidige stand van de wetenschap ook met een quantumcomputer niet efficiënt oplosbaar zijn. De prestaties zijn vergelijkbaar met of beter dan veel gebruikte elliptische‑curve‑oplossingen, waardoor implementatie in bestaande systemen haalbaar blijft. ML‑DSA (Module‑Lattice‑Based Digital Signature Algorithm, voorheen Dilithium) levert digitale handtekeningen die quantum‑resistent zijn. SLH‑DSA (Stateless Hash‑Based Digital Signature Algorithm, voorheen SPHINCS+) gebruikt hashfuncties als basis en biedt daarmee cryptografische diversiteit. FN‑DSA (Fast Number Theoretic Digital Signature Algorithm, voorheen FALCON) is geoptimaliseerd voor compacte handtekeningen en efficiënte verwerking in omgevingen met beperkte middelen.
Die diversiteit is een bewuste keuze en een les uit het verleden, toen beveiligingsprotocollen vaak afhankelijk waren van één dominant algoritme. In de begintijd van SSL/TLS werd vrijwel uitsluitend op RSA vertrouwd; een fundamentele kwetsbaarheid in RSA zou destijds het grootste deel van de internetbeveiliging hebben ondermijnd. De post‑quantum‑standaarden vermijden dergelijke single points of failure door meerdere algoritmefamilies te standaardiseren (rooster‑gebaseerd, hash‑gebaseerd, getaltheoretisch). Als er in de toekomst een wiskundige doorbraak komt die een bepaalde familie aantast, blijven alternatieve algoritmen beschikbaar. Voor organisaties betekent dit dat zij, waar mogelijk, niet op één enkel post‑quantum‑algoritme moeten wedden, maar ontwerpkeuzes moeten maken die cryptografische diversiteit faciliteren.
Migratietijdlijn en organisatorische planning
De overgang naar post‑quantum‑cryptografie is geen eenmalig technisch project, maar een organisatiebreed traject dat gemakkelijk een decennium kan beslaan. De benodigde doorlooptijd wordt vooral bepaald door de complexiteit van de migratie: het volledig in kaart brengen van alle cryptografische toepassingen in systemen en ketens, het testen van nieuwe algoritmen op compatibiliteit en performance, het aanpassen van applicatiecode en bibliotheken, het vervangen of herconfigureren van hardware die is geoptimaliseerd voor klassieke algoritmen, het opnieuw uitgeven van certificaten en het borgen van interoperabiliteit met ketenpartners.
Een realistische migratie‑roadmap bestrijkt grofweg de periode 2025‑2035 en is afgestemd op de verwachte opkomst van cryptografisch relevante quantumcomputers. In de eerste fase (2025‑2027) ligt de nadruk op een cryptografische inventarisatie en impactanalyse: waar wordt welke cryptografie gebruikt, welke gegevens vragen de langste vertrouwelijkheid en welke systemen hebben daardoor de hoogste prioriteit? In die periode kunnen organisaties ook starten met proefimplementaties van post‑quantum‑algoritmen in test‑ en pilotomgevingen. In de tweede fase (2027‑2030) verschuift de focus naar de eerste productiescenario’s, met name voor systemen die geclassificeerde of zeer gevoelige informatie verwerken. Vaak wordt dan gekozen voor hybride oplossingen waarin klassieke en post‑quantum‑cryptografie naast elkaar worden gebruikt, zodat compatibiliteit behouden blijft terwijl toch al quantum‑veilige beveiliging wordt toegevoegd. Leveranciersmanagement wordt in deze periode cruciaal: contracten en architecturen moeten expliciet eisen stellen aan post‑quantum‑ondersteuning.
In de derde fase (2030‑2035) vindt de brede uitrol plaats en worden klassieke‑alleen oplossingen stapsgewijs uitgefaseerd. Organisaties streven ernaar om vóór het moment waarop quantumcomputers een reële bedreiging vormen, hun belangrijkste systemen volledig op post‑quantum of hybride cryptografie te hebben overgezet. Dit vraagt om doordachte budgettering: de transitie vergt investeringen in software‑aanpassingen, hardwarevernieuwing, expertise, testcapaciteit en governance. Een pragmische benadering is om over een periode van tien jaar een herkenbaar deel van het jaarlijkse beveiligingsbudget (bijvoorbeeld 5 tot 15 procent) structureel te reserveren voor post‑quantum‑activiteiten. Door vroeg te beginnen, kunnen kosten gespreid worden en wordt voorkomen dat later onder tijdsdruk een dure en risicovolle inhaalslag nodig is.
De dreiging die quantumcomputing vormt voor bestaande cryptografie is in de kern een strategisch vraagstuk voor bestuurders en senior management. Waar veel beveiligingsrisico’s nog met een grotendeels reactieve aanpak kunnen worden beheerst, vraagt de quantumdreiging om tijdige en proactieve voorbereiding: de migratie naar post‑quantum‑cryptografie kost jaren en harvest‑now‑decrypt‑later‑aanvallen maken uitstel tot het moment dat de dreiging zichtbaar wordt feitelijk onmogelijk. Vooral Nederlandse overheidsorganisaties die staatsgeheime of langdurig gevoelige informatie verwerken, kunnen zich geen afwachtende houding permitteren. Door nu te starten met een cryptografische inventarisatie, het beoordelen van post‑quantum‑algoritmen, het opzetten van pilots en het opnemen van quantum‑eisen in leveranciersrelaties, kan de organisatie in de komende tien jaar gecontroleerd migreren naar een quantum‑resistent beveiligingsniveau.
Organisaties die voorbereiding uitstellen, lopen het risico dat zij in de jaren dertig worden geconfronteerd met een cryptografische infrastructuur die in korte tijd als verouderd en kwetsbaar moet worden vervangen, terwijl zij gelijktijdig moeten omgaan met de consequenties van mogelijk ontcijferde, eerder buitgemaakte gegevens. Door bestuurlijke eigenaarschap expliciet te beleggen, duidelijke meerjarenplannen te maken en de benodigde middelen structureel te reserveren, ontstaat ruimte om deze complexe transitie beheerst uit te voeren. Zo kan de Nederlandse overheid haar digitale vertrouwelijkheid ook in het quantumtijdperk borgen.